X.org libXfont 迄 1.4.99 fserve.c fs_get_reply/fs_alloc_glyphs/fs_read_extent_info リモートコード実行
| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 6.4 | $0-$5k | 0.00 |
要約
脆弱性が X.org libXfont 内に見つかりました。この脆弱性は 重大 として分類されました。 この問題により影響を受けるのは、ファイル【fserve.c】に含まれる関数【fs_get_reply/fs_alloc_glyphs/fs_read_extent_info】です。 未知の値で改ざんすることが、 リモートコード実行を突く攻撃に繋がります}。 この脆弱性は CVE-2014-0211 として知られています。 この問題を修正するために、パッチの適用を推奨します。
詳細
脆弱性が X.org libXfont 内に見つかりました。この脆弱性は 重大 として分類されました。 この問題により影響を受けるのは、ファイル【fserve.c】に含まれる関数【fs_get_reply/fs_alloc_glyphs/fs_read_extent_info】です。 未知の値で改ざんすることが、 リモートコード実行を突く攻撃に繋がります}。 問題をCWEで宣言すると、CWE-189 になります。 この脆弱性は公開されました 2014年05月12日 によりHuzaifa S. Sidhpurwala としてBug 1096601 としてBug Report (Bugzilla)。 アドバイザリはbugzilla.redhat.comにて共有されています。
この脆弱性は CVE-2014-0211 として知られています。 CVEの割り当ては 2013年12月03日 に行われました。 技術的詳細情報が入手可能です。 この脆弱性の一般的な利用度は平均を下回っています。 現時点で、脆弱性の構成から考えられる取引価格帯を約$0-$5k米ドルと算出しました。 アドバイザリーは次を指摘しています。
When parsing replies received from the font server, these calls do not check that their calculations for how much memory is needed to handle the returned data have not overflowed, so can result in allocating too little memory and then writing the returned data past the end of the allocated buffer.
0dayとして、推定される闇市場取引価格はおよそ $0-$5k でした。 脆弱性スキャナーNessusはID【73997 (Debian DSA-2927-1 : libxfont - security update)】のプラグインを提供しています。ターゲット環境における不具合の有無を判定するのに役立ちます。 この項目は Debian Local Security Checks ファミリーに割り当てられています。 プラグインはタイプ【 l 】のコンテキストで実行されています。 商用脆弱性スキャナーQualysではプラグイン【 350808 (Amazon Linux Security Advisory for libXfont: AL2012-2015-023) 】を使用してこの問題をテストできます。
バグフィックスは、cgit.freedesktop.org からダウンロードすることが可能です。 この問題を修正するために、パッチの適用を推奨します。 考えられる回避策が、1 日として脆弱性の公開後公表されました 。
この脆弱性は他の脆弱性データベースにも文書化されています: SecurityFocus (BID 67382), X-Force (93146), Secunia (SA58474), SecurityTracker (ID 1030238) , Tenable (73997).
製品
ベンダー
名前
バージョン
- 1.2.3
- 1.2.4
- 1.2.5
- 1.2.6
- 1.2.7
- 1.2.8
- 1.2.9
- 1.3.0
- 1.3.1
- 1.3.2
- 1.3.3
- 1.3.4
- 1.4.0
- 1.4.1
- 1.4.2
- 1.4.3
- 1.4.4
- 1.4.5
- 1.4.6
- 1.4.7
- 1.4.99
ライセンス
ウェブサイト
- ベンダー: https://www.x.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 7.3VulDB 一時的なメタスコア: 6.4
VulDB ベーススコア: 7.3
VulDB 一時的なスコア: 6.4
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 🔍
悪用
クラス: リモートコード実行CWE: CWE-189
CAPEC: 🔍
ATT&CK: 🔍
物理的: いいえ
ローカル: いいえ
リモート: はい
可用性: 🔍
ステータス: 未実証
EPSS Score: 🔍
EPSS Percentile: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
Nessus ID: 73997
Nessus 名前: Debian DSA-2927-1 : libxfont - security update
Nessus ファイル: 🔍
Nessus リスク: 🔍
Nessus ファミリー: 🔍
Nessus Context: 🔍
OpenVAS ID: 702927
OpenVAS 名前: Debian Security Advisory DSA 2927-1 (libxfont - security update
OpenVAS ファイル: 🔍
OpenVAS ファミリー: 🔍
Qualys ID: 🔍
Qualys 名前: 🔍
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: パッチステータス: 🔍
リアクション時間: 🔍
0day日時: 🔍
暴露時間: 🔍
パッチ: cgit.freedesktop.org
タイムライン
2013年12月03日 🔍2014年05月12日 🔍
2014年05月12日 🔍
2014年05月13日 🔍
2014年05月14日 🔍
2014年05月14日 🔍
2014年05月15日 🔍
2014年05月15日 🔍
2014年05月16日 🔍
2018年05月17日 🔍
ソース
ベンダー: x.org勧告: Bug 1096601
調査者: Huzaifa S. Sidhpurwala
ステータス: 確認済み
確認: 🔍
CVE: CVE-2014-0211 (🔍)
GCVE (CVE): GCVE-0-2014-0211
GCVE (VulDB): GCVE-100-13219
OVAL: 🔍
X-Force: 93146 - X.Org libXfont multiple functions buffer overflow, High Risk
SecurityFocus: 67382
Secunia: 58474 - X.Org libXfont Multiple Vulnerabilities, Less Critical
SecurityTracker: 1030238
関連情報: 🔍
エントリ
作成済み: 2014年05月16日 16:22更新済み: 2018年05月17日 08:55
変更: 2014年05月16日 16:22 (81), 2018年05月17日 08:55 (6)
完了: 🔍
Cache ID: 216:155:103
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。